Der beliebte E-Mail-Marketing- und Newsletter-Dienst Mailchimp hat eine weitere Sicherheitslücke bekannt gegeben, die es Bedrohungsakteuren ermöglichte, auf ein internes Support- und Kontoverwaltungstool zuzugreifen und Informationen über 133 Kunden zu erhalten.
„Der unbefugte Akteur führte einen Social-Engineering-Angriff auf Mailchimp-Mitarbeiter und Auftragnehmer durch und verschaffte sich mit den bei diesem Angriff kompromittierten Anmeldedaten Zugang zu ausgewählten Mailchimp-Konten“, teilte das Unternehmen, das zu Intuit gehört, in einer Mitteilung mit.
Die Entwicklung wurde zuerst von TechCrunch gemeldet.
Mailchimp gab an, den Lapsus am 11. Januar 2023 entdeckt zu haben, und wies darauf hin, dass es keine Beweise dafür gibt, dass der Unbefugte über die 133 Konten hinaus in Intuit-Systeme oder andere Kundendaten eingedrungen ist.
Mailchimp teilte außerdem mit, dass die Hauptansprechpartner der betroffenen Konten innerhalb von 24 Stunden benachrichtigt wurden und dass Mailchimp diesen Nutzern geholfen hat, den Zugang zu ihren Konten wiederherzustellen.
Das in Atlanta ansässige Unternehmen gab jedoch nicht bekannt, wie lange der Eindringling in seinen Systemen verblieb und auf welche Informationen er genau zugriff.
WooCommerce, eines der betroffenen Konten, sagte jedoch, dass bei dem Vorfall die Namen, URLs, Adressen und E-Mail-Adressen der Nutzer/innen aufgedeckt wurden, nicht aber ihre Zahlungsdaten, Passwörter oder andere sensible Informationen.
Allein im vergangenen Jahr wurde Mailchimp Opfer von zwei verschiedenen Sicherheitsverletzungen. Bei der ersten verschaffte sich ein böswilliger Akteur im April 2022 unbefugten Zugang zu 319 Kundenkonten, um Krypto-Phishing-Betrügereien durchzuführen.
Im August 2022 fiel das Unternehmen auf eine weitere ausgeklügelte Social-Engineering-Attacke der Gruppe 0ktapus (auch bekannt als Scatter Swine) herein, die zur Kompromittierung von 216 Kundenkonten führte.